Μια ευπάθεια του Google Chrome, που επιδιορθώθηκε πρόσφατα, χρησιμοποιήθηκε ως zero-day από Βορειοκορεάτες hackers για την παράδοση του rootkit FudModule.
Η Microsoft εντόπισε την κακόβουλη δραστηριότητα στις 19 Αυγούστου 2024 και τη συνέδεσε με την ομάδα Citrine Sleet (πρώην DEV-0139 και DEV-1222), η οποία είναι επίσης γνωστή ως AppleJeus, Labyrinth Chollima, Nickel Academy και UNC4736. Θεωρείται υπο-ομάδα της γνωστής συμμορίας Lazarus.
“Η Citrine Sleet εδρεύει στη Βόρεια Κορέα και στοχεύει κυρίως χρηματοπιστωτικά ιδρύματα, ιδιαίτερα οργανισμούς και άτομα που διαχειρίζονται κρυπτονομίσματα“, δήλωσε η ομάδα της Microsoft Threat Intelligence.
Δείτε επίσης: Νοτιοκορεάτες hackers εκμεταλλεύονται ευπάθεια του WPS Office
Οι αλυσίδες επιθέσεων των Βορειοκορεατών hackers Citrine Sleet συνήθως περιλαμβάνουν τη δημιουργία ψεύτικων ιστοσελίδων, που μεταμφιέζονται σε νόμιμες πλατφόρμες συναλλαγών crypto. Προσπαθούν να εξαπατήσουν τους χρήστες να εγκαταστήσουν μολυσμένα cryptocurrency wallets ή κακόβουλες εφαρμογές που διευκολύνουν την κλοπή ψηφιακών assets.
Οι hackers Citrine Sleet εκμεταλλεύονται την ευπάθεια CVE-2024-7971 στο V8 JavaScript και WebAssembly engine, με την οποία μπορούν να πραγματοποιήσουν απομακρυσμένη εκτέλεση κώδικα (RCE) στο sandboxed Chromium renderer process. Η ευπάθεια διορθώθηκε από την Google πριν μερικές ημέρες.
Προς το παρόν δεν είναι σαφές πόσο διαδεδομένες ήταν αυτές οι επιθέσεις. Ωστόσο, λέγεται ότι τα θύματα οδηγούνταν σε έναν κακόβουλο ιστότοπο με το όνομα voyagorclub[.]space, πιθανότατα μέσω τεχνικών social engineering, πυροδοτώντας μια εκμετάλλευση για το CVE-2024-7971.
Το RCE exploit, από την πλευρά του, ανοίγει το δρόμο για την ανάκτηση του shellcode που περιέχει ένα Windows sandbox escape exploit (CVE-2024-38106) και το rootkit FudModule, το οποίο χρησιμοποιείται για την καθιέρωση admin-to-kernel access σε συστήματα Windows.
Δείτε επίσης: TodoSwift: Νέο macOS malware – Συνδέεται με Βορειοκορεάτες hackers;
Το CVE-2024-38106, ένα σφάλμα κλιμάκωσης προνομίων των Windows, διορθώθηκε με την κυκλοφορία του Patch Tuesday Αυγούστου. Η εκμετάλλευση της ευπάθειας από τους Βορειοκορεάτες hackers Citrine Sleet συνέβη μετά την κυκλοφορία της επιδιόρθωσης.
Το CVE-2024-7971 είναι η τρίτη ευπάθεια που χρησιμοποίησαν οι Βορειοκορεάτες hackers φέτος για τη διανομή του rootkit FudModule, μετά το CVE-2024-21338 και το CVE-2024-38193, τα οποία επιδιορθώθηκαν από τη Microsoft τον Φεβρουάριο και τον Αύγουστο.
“Η αλυσίδα εκμετάλλευσης CVE-2024-7971 βασίζεται σε πολλαπλά στοιχεία για να θέσει σε κίνδυνο έναν στόχο και αυτή η αλυσίδα επίθεσης αποτυγχάνει εάν κάποιο από αυτά τα στοιχεία αποκλειστεί, συμπεριλαμβανομένου του CVE-2024-38106“, δήλωσε η εταιρεία.
Ποιες είναι οι τελευταίες τεχνικές αντιμετώπισης Zero-Day ευπαθειών;
Μία από τις πιο σύγχρονες τεχνικές αντιμετώπισης των Zero-Day ευπαθειών είναι η χρήση της τεχνητής νοημοσύνης και της μηχανικής μάθησης για την ανίχνευση και την πρόληψη αυτών των επιθέσεων. Αυτές οι τεχνολογίες μπορούν να αναλύσουν μεγάλους όγκους δεδομένων και να εντοπίσουν πρότυπα που θα μπορούσαν να υποδεικνύουν μια πιθανή επίθεση.
Δείτε επίσης: Οι Βορειοκορεάτες hackers Andariel στρέφονται στο ransomware
Επιπλέον, η χρήση των συστημάτων ανίχνευσης εισβολών (IDS) και των συστημάτων πρόληψης εισβολών (IPS) είναι μια άλλη σύγχρονη τεχνική για την αντιμετώπιση των Zero-Day ευπαθειών. Αυτά τα συστήματα μπορούν να αναγνωρίσουν και να αντιμετωπίσουν τις απειλές πριν αυτές επηρεάσουν το σύστημα.
Τέλος, η συνεχής ενημέρωση και παρακολούθηση των συστημάτων είναι απαραίτητη για την προστασία από τις Zero-Day ευπάθειες. Η ενημέρωση του λογισμικού και των συστημάτων ασφαλείας με τις τελευταίες εκδόσεις μπορεί να βοηθήσει στην αποτροπή των επιθέσεων, ενώ η παρακολούθηση των συστημάτων μπορεί να επιτρέψει την άμεση ανίχνευση και αντιμετώπιση τυχόν παραβιάσεων.
Πηγή: thehackernews.com
